Skip to main content

Rechtstipp von Spirit Legal LLP für die HDV, heute zum Thema: Datenschutz im Hotel nach dem Ende von "Safe Harbor"

Stuttgart, den 02. Dezember 2015 - Mit Urteil vom 6. Oktober 2015 (Maximillian Schrems v. DataProtection Commissioner, Rs. C-362/14) erklärte der Europäische Gerichtshof (EuGH) die Vereinbarung zur einfachen Datenübermittlung in die USA („Safe Harbor“) für ungültig.

Die Entscheidung des Gerichts hat nicht nur für amerikanische Internetkonzerne weitreichende Bedeutung, sondern auch für europäische Unternehmen, die auf Dienstleistungen von US-Unternehmen angewiesen sind. Insgesamt wird es künftig schwieriger, privatwirtschaftlich Daten aus Europa in die USA zu übertragen. Sofern sich diese Datenübermittlungen in der Vergangenheit lediglich auf das Safe-Harbor-Abkommen stützen konnten, müssen solche Übermittlungen personenbezogener Daten nun über andere Mechanismen legitimiert werden.

Viele Hotels sind sich angesichts dieser Entwicklungen unsicher, wie die neue Rechtslage zu bewerten ist und welchen Einfluss sie auf ihr Tagesgeschäft hat.                                                                              

Können personenbezogene Daten überhaupt noch rechtmäßig in die USA übermittelt werden?

Gleichwohl man sich aktuell auf der sicheren Seite in der Zeit der Rechtsunsicherheit wähnen kann, wenn man seine Datenübermittlungen in die USA einstellt, existieren stets Instrumente, die auch bereits heute einen transatlantischen Datentransfer ermöglichen können.

Um festzustellen welche vertraglichen Konstellationen Grundlage Ihrer jeweiligen Datenübertragung sind, sollten zumindest alle wichtigen Datenübertragungen des Unternehmens in die USA einer Bestandsaufnahme unterzogen werden.

Zur Legalisierung einer Datenübermittlung von Europa in die USA kommen insbesondere folgende Mechanismen in Betracht:

1. Abschluss von EU-Standardvertragsklauseln

Die Europäische Kommission hat Vertragsklauseln beschlossen, die eingesetzt werden können, um einen Datentransfer in einen „unsicheren Drittstaat“ zu legitimieren. Die Kommission sowie die Artikel-29-Gruppe, die sich aus Vertretern der nationalen Datenschutzbehörden zusammensetzt, gehen auch nach der Unwirksamkeitserklärung des Safe-Harbor-Abkommens weiter von einer Gültigkeit der EU-Standardvertragsklauseln aus und verweisen aktiv auf die Nutzung dieser Standardverträge.

2. Verabschiedung von internen Unternehmensrichtlinien (Binding Corporate Rules)

Ferner besteht die Möglichkeit interne und für das Unternehmen verbindliche Richtlinien festzulegen. Diese Richtlinien müssen von der Datenschutzbehörde des Landes, aus dem Daten übertragen werden sollen, allerdings genehmigt werden. Aufgrund des damit verbundenen Aufwands sind Binding Corporate Rules als Rechtsgrundlage für Datenübermittlungen in Drittstaaten für kleinere Unternehmen in der Regel nicht geeignet. Nach Auffassung der Artikel-29-Gruppe kann dieses Instrument weiterhin genutzt werden, um eine Datenübermittlung in Drittstaaten zu legalisieren. Zugleich hat das Beratungsgremium jedoch verlauten lassen, dass es prüfen werde, wie sich das Urteil des EuGH auf die bisher bestehenden Übermittlungsinstrumente auswirke.

3. Einwilligung des Betroffenen

Weiterhin ist eine Datenübermittlung in die USA darüber zu fundieren, dass der Betroffene ausdrücklich in eine Übertragung seiner personenbezogenen Daten in einen unsicheren Drittstaat einwilligt. Die Einwilligung als Rechtsgrundlage zur Datenübermittlung birgt jedoch auch gewisse Risiken. Denn der Betroffene muss über alle tatsächlichen und potentiellen Empfänger seiner personenbezogenen Daten im Drittland informiert werden, was oftmals gar nicht gewährleistet werden kann. Ebenso kann eine Einwilligung durch den Betroffenen jederzeit widerrufen würde, womit die Rechtsgrundlage der Datenübermittlung ins Ausland entfallen würde.

Ausblick

Auch die Aufsichtsbehörden koordinieren ihr Vorgehen zunächst regional und auf europäischer Ebene. Aufgrund der Brisanz und der großen Bedeutung des internationalen Datenaustauschs in der digitalen Welt ist bereits kurzfristig mit praxisnahen Lösungsansätzen der Aufsichtsbehörden und EU-Kommission zu rechnen. Die Artikel-29-Gruppe hat insoweit eine „Schonfrist“ bis Ende Januar 2016 ausgesprochen. Sofern bis dahin keine angemessene Lösung in Zusammenarbeit mit den US-Behörden gefunden wurde, stehen laut Artikel-29-Gruppe die EU-Datenschutzbehörden in der Pflicht „alle notwendigen und angemessen Maßnahmen zu ergreifen, einschließlich koordinierter Durchsetzungsmaßnahmen.“

Informationen zur Autorin:

Naida Šehić, LL.M. ist Wirtschaftsjuristin bei Spirit Legal LLP. Ihre Arbeitsschwerpunkte sind Wettbewerbs- und Datenschutzrecht.


Gosheimer Weg 17
70619 Stuttgart
Deutschland

+49 711 - 88 27 99 57
+49 711 - 88 27 99 62
info@hdvnet.de